Pplware

Microsoft descobre falha de segurança em apps Android com 4000 milhões de downloads

[Atualização]: No seguimento desta notícia a Xiaomi reagiu e enviou uma declaração, que se encontra o final do artigo.

A Microsoft revelou uma nova falha crítica de segurança, que pode afetar inúmeras apps Android conhecidas. Chamada “Dirty Stream”, esta vulnerabilidade representa uma ameaça séria e pode oferecer aos atacantes a capacidade de assumir o controlo de apps e roubar informações valiosas do utilizador.


O “Dirty Stream” é um ataque que, ironicamente, aproveita como o Android impede o acesso a informações privadas entre apps. Todas as presentes nos smartphones fazem-no isoladamente, com o seu próprio espaço de memória, para evitar que outros possam ler informações dos dados do utilizador.

A pior parte desta informação é que, segundo cálculos da Microsoft, as apps vulneráveis ​​a esse ataque chegam aos milhares de milhões. Entre estas propostas está a app de gestão de ficheiros da Xiaomi, que vem pré-instalada em todos os seus smartphones e nos da Redmi e POCO.

O problema acontece quando as apps usam este sistema incorretamente. Se os programadores Android cometem erros na implementação desse espaço seguro, eles abrem a porta para qualquer app maliciosa, enviando-lhes o que parece ser um arquivo, mas, na verdade, é uma execução de código. Este pode assumir o controlo, seja instalando outras apps ou roubando dados e enviando-os para os atacantes.

Os pesquisadores da Microsoft descobriram que essa implementação incorreta é muito comum e muitas apps disponíveis no Google Play Store têm esse erro presente. Isso inclui a app de ficheiros da Xiaomi ou a app WPS Office, uma das alternativas mais populares ao Microsoft Office e ao Google Docs.

Pelo menos, tanto a Xiaomi quanto a WPS responderam aos pesquisadores da Microsoft e já resolveram o problema nas suas apps. No entanto, ainda existe um número indeterminado de apps que continuam com esta falha presente. Por este motivo, a Google já modificou a documentação do Android, para que os programadores a usem.

Para os utilizadores a única forma de se manterem em segurança é garantir que as atualizações das suas apps estão feitas. Os programadores das apps afetadas devem em breve começar a lançar mais correções, que devem de imediato ser aplicadas no Android.

[Atualização]: No seguimento desta notícia a Xiaomi reagiu e enviou uma declaração, que se encontra abaixo.

Proteger a segurança dos dados e a privacidade dos nossos utilizadores é a principal prioridade. Temos uma equipa de segurança líder na indústria e estamos a trabalhar com a Google e com a Hackerone para construir sistemas Android seguros. A Xiaomi corrigiu todas as vulnerabilidades comunicadas pela equipa do Oversecured e assegurou que nenhum utilizador está exposto ao risco colocado por estas vulnerabilidades. Os utilizadores são sempre aconselhados a atualizar os seus dispositivos para a versão mais recente do software que oferece atualizações de segurança.

Exit mobile version